이종호_대한민국, 사이버 안보 강화를 위한 현안 자료입니다.  

대한민국, 사이버 안보 강화를 위한 현안

BoB 책임멘토

이종호

 인공지능, 빅 데이터, ICT 기술의 발전과 함께 정보보안의 중요성은 나날이 강조되고 있다. 현재는 모든 것이 서로 연결되는 말 그대로 ‘초 연결 사회’이다. 최첨단 스마트 디바이스들이 가정, 학교, 회사, 공공기관 등에서 연결되어 생활에 편리한 기능을 제공하기 위해 끊임없이 통신하고 정보를 교환하고 있다. 이로 인해 원격교육, 재택근무, 원격진료 등 기존의 물리적 공간의 한계를 벗어나 일상생활에서 내가 원하는 시간에 원하는 장소에서 다양한 경험을 할 수 있게 되었다. 새로운 산업이 생겨나고 있고 우리의 일상은 더욱 편리하게 변화하고 있다. 데이터, 정보, 지식이 축적되며 AI를 기반으로 더욱 의미있는 분석 결과를 도출해 맞춤화된 서비스 들도 생겨나고 있다.

 이렇게 우리의 일상은 초 연결 사회 속에서 다양한 기술력을 통해 좀 더 편리한, 좀 더 나은 방향으로 변화하고 있다. 하지만 이러한 변화들로 인해 부정적인 효과와 해결해야할 과제들도 많다.

 체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 부문 체크포인트 리서치에 따르면 지난해 대비 올해 전세계 조직에 대한 주간 공격은 40%나 증가했다고 한다. 유럽 지역과 북미, 아프리카 지역에서 가장 많은 공격을 받았으며 한국 기업은 주당 592건의 사이버 공격을 받아 지난 해 대비 무려 52% 공격이 증가한 것으로 나타났다.

 미국에서는 이미 사이버 안보는 세계적인 문제로 보고 있으며 러시아, 북한 등으로 추정되는 해커들의 전방위적 공격이 증가하고 있는 현 상황을 주시하고 있다. 또한 세계 주요 7개국 G7 정상회의 및 각 국 정상들과의 회담에서도 사이버 공격에 대한 문제를 제기하고 이를 위한 해결 방안을 모색하고 있다. 

 한국도 나날이 증가하는 사이버 공격에 대한 대응을 통해 국가 안보를 수호하기 위해서는 다음의 내용과 같이 정보보안 산업에 보다 적극적인 정부의 관심과 투자가 필요하다.

 첫째로, 화이트 해커 양성을 통해 국가 안보를 위한 동력을 확충해야 한다. 미국, 중국, 대만, 북한 등에서는 이미 국가 차원에서의 화이트 해커 양성에 힘쓰고 있다. 국내에서도 과학기술정보통신부 산하 한국정보기술연구원에서 차세대 보안 리더 양성 프로그램을 통해 차세대 보안 리더를 양성하고 있지만 매 년 화이트해커 1인을 양성하기 위한 지원의 규모는 줄어들고 있다. 현재는 매년 200명 가량의 화이트해커를 양성하고 있지만, 발전하는 ICT 속도에 맞춰 매년 더 큰 규모로 화이트해커를 양성하고 화이트해커 인력에 대한 꾸준한 지원이 필요하다. 국가의 지원을 통해 양성된 화이트해커가 각 산업군의 기업체, 연구소에 소속되어 보안의 발전을 위해 역량을 발휘하고 후배 화이트해커를 양성하는데에도 기여할 수 있도록 국가의 적극적인 투자와 보안 생태계 조성을 위한 노력이 필요하다.

 둘째로, 사회 전반의 보안 인식 개선이 필요하다. 매년 국내에서 실력있는 화이트해커들이 해외로 빠져나가고 있다. 이유는 무엇일까? 매년 화이트해커를 양성하고 있지만 국보급 인재라 할 수 있는 화이트해커들은 한국의 보안 현실에 대한 답답함과 더 발전된 IT 산업에서의 경험 등을 이유로 해외로 빠져나가고 있다. 유럽의 GDPR 등의 사례만 봐도 해외에서는 보안에 대해 보다 중요하게 인식하고 있으며 이에 기반한 법과 제도들을 정비하고 있다. 또한 우리나라의 규제와 달리 보안을 지키기 위한 구체적인 방안을 제시하는 방법이 아닌 보안 사고 발생 시 강력한 처벌과 책임을 통해 각 기업에서 산업의 특성에 맞게 자율적인 방법으로 보안을 지키고 발전시킬 수 있도록 사회 전반적인 분위기에 보안을 녹여내고 있다. 따라서 국내 보다 화이트해커에 대한 더 높은 처우와 좋은 인식으로 인해 수준급의 화이트해커들은 해외로 빠져나가고 있다. 이를 막으려면 사회 전반에서 보안 인식에 대한 개선이 필요하다. 다양한 산업군에서 보안이 부수적인 것이 아닌 필수적으로 해야하는 중요한 것이라는 인식을 만들어가야 한다.

 셋째로, 보안 관련 법 체계의 개선이 필요하다. 앞에서도 언급하였듯이 우리나라는 법, 지침, 가이드라인 등 수 많은 보안 요건들을 만들고 이를 지키도록하는 체계를 유지하고 있다. 사실 화이트해커의 입장에서는 각 산업군, 각 기업들이 사용하는 기술은 모두 다른데 모든 산업과 모든 기업에 동일한 규제를 적용한다는 것은 아이러니하게 느껴진다. ICT 기술은 매우 다양하고 그 기술을 실제 산업에서 적용시키고 활용하는 방법도 매우 많다. 그래서 각 기업들은 전문적인 화이트해커를 통해 각 기업의 실정에 맞는 보안 체계를 구축해야 하고 맞춤화된 보안 활동을 통해서만 고도화되는 사이버 공격에 대비할 수 있다. 이를 위해서는 궁극적으로 각 산업과 기업에서 단지 법과 규제만을 지키는 보안이 아닌, 법과 규제는 기본적으로 지키고 각 기업의 실정에 맞는 추가적인 보안 활동을 이어갈 수 있도록 체계가 바뀌어야 한다.

 국가의 안보 문제로까지 이어질 수 있는 보안을 지키기 위해 가장 중요한 것은 사회 구성원 개개인의 인식 변화이다. 보안에 대해 귀찮고 불필요한 부수적인 것이라는 인식, 나와는 관련 없다는 인식에서 보안은 꼭 필요하고 나 부터 지켜야한다는 인식이 필요하다. 보안 체계를 잘 구축한 조직에서 큰 보안 사고가 발생하는 이유를 조사해보면 구성원 한 명의 잘못된 윤리관으로 인한 정보 유출, 또는 보안에 대한 무지가 실수로 이어지고 그 실수가 기업 전체 더 나아가 산업 전체에 대한 피해로 이어지는 경우가 많다.

 따라서 국가에서는 실력있는 화이트해커를 양성하여 각 산업 분야에 배치하여 보안을 녹아 들 수 있게 해야한다. 더불어 더 많은 사람들이 보안에 대해 관심을 가질 수 있도록 사회적인 인식을 바꾸고, 사회 구성원들이 보안을 위해 각자의 위치에서 역량을 발휘할 수 있도록 관련한 법 체계의 개선을 위해 노력해야한다.